Bilgi Güvenliği Yönetim Sistemi

1.BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Bilgi, kurum/kuruluşların günlük işlerinin, kayıtlarının ve birikimlerinin sonucu elde edilen ve karar verme aşamasında da kullanılabilen işlenmiş veya işlenmemiş veri anlamına gelmektedir. Güvenlik ise, can ve mal varlıklarının her türlü tehdit ve tehlikelerden korunması seklinde tanımlanabilir. Bu iki tanımdan hareket ederek bilgi güvenliğini, verinin, toplanması, son kullanıcıya ulaşması, saklanması ve kullanımı aşamalarında her türlü tehdit ve tehlikelerden korunması, bu amaçla önceden alınacak tedbirler ve saldırı halinde yapılabilecek işlemlerin tümünü kapsayan bir disiplin olarak tanımlayabiliriz.

Bilgi güvenliğinin ana amacı, her türlü ortamdaki (basılı, elektronik vb.) verinin güvenliğini sağlamak, veri bütünlüğünü korumak ve veriye erişimi denetleyerek gizliliği ve sistem devamlılığını sağlamaktır. Burada önemli bir husus da güvenliğin kullanıcıya aşırı sınırlamalar getirmeden ancak, kullanıcı tercihlerinden de bağımsız olarak sağlanmasıdır.

İyi bir bilgi güvenliği, bütün güvenlik çözümlerinin bir araya getirilmesiyle oluşur. Dolayısıyla, bilginin güvenliğini sağlamak için birden çok güvenlik çözümüne ihtiyaç vardır. Tek bir güvenlik çözümü veri ve bilgisayar sistemlerinin güvenliğini tam olarak sağlayamaz ve yeterli bir güvenlik sistemi olarak düşünülemez.

Bilgi güvenliği her türlü ortamda tutulan verilerin, programların ve her türlü bilginin korunması anlamına gelmektedir. Bilgi güvenliğinin temel amaçları Gizlilik, Bütünlük, Erişebilirlik, İnkâr edememe ve İzleme olarak verilebilir.

2.AMAÇ VE KAPSAM

 

2.1.Amaç

Bu dokümanın amacı Revotas bilgi güvenliği seviyesini sürekli iyileştirmek, yaşanabilecek bilgi güvenliği olaylarına zamanında ve etkili biçimde müdahale edebilmek için uyguladığı yönetim sistemini ISO 27001 standardına paralel olarak tanımlamak, ilgili politika, prosedür ve kayıtlara referans vererek yönetim sisteminin bütününü oluşturan bu parçaların yönetim sistemindeki yerlerini ifade etmektir.

2.2.Kapsam

Revotas için kurulan ve işletilen bilgi güvenliği yönetim sistemi, insan, alt yapı, yazılım, donanım, müşteri bilgileri, şirket bilgileri, üçüncü şahıslara ait bilgiler ve finansal kaynaklar olarak sınıflandırdığımız varlıkların tamamını kapsar.

Bu varlıklarla ilgili her türlü ortamda saklanan fiziksel ve sanal bilgiler ve bu ortamlar BGYS kuralları dahilinde korunur ve sistem sürekliliği takip edilir.

Revotas kapsamı “Yazılım geliştirme, dijital pazarlama, CRM alt yapı sağlanması, Ar-Ge hizmetlerine yönelik bilişim güvenliği.” olarak belirlenmiştir.

3.YASAL ŞARTLARA UYUMLULUK

Revotas, Türkiye Cumhuriyeti kanunlarına ve tüm uluslararası kanunlara uymayı kabul ve taahhüt eder;

Birincil Mevzuatlar;

  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
  • 5846 Sayılı Fikir ve Sanat Eserleri Kanunu
  • 5070 Sayılı Elektronik imza Kanunu
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
  • 5809 Sayılı Elektronik Haberleşme Kanunu
  • 5237 Sayılı Türk Ceza Kanunu
  • Kanun No. 6698 (Kişisel Verilerin Korunması Kanunu)
  • Elektronik Ticarette Hizmet Sağlayıcılar Yön.
  • VUK G. Tebliği No: 448 (421’de Değ.)
  • VUK G. Tebliği No: 447 (397’de Değ.)
  • Vergi Usul G. Tebliğ No. 397
  • Vergi Usul G. Tebliğ No. 421
  • Kayıtlı Elektronik Posta Sistemi Tebliği
  • Elektronik Defter Genel Tebliği (Sıra No:1)
  • Kamuyu Aydınlatma Platformu Tebliği (VII-128.6)
  • Ödeme ve Elektronik Para Kur. Bilgi Sist. Teb.
  • Vergi Usul G. Tebliğ No: 454
  • Yataklı Tedavi Kurumları Tıbbî Kayıt Ve Arşiv Hizmetleri Yönergesi

İkincil Mevzuatlar;

  • Yerel Ağa Ayrıştırılmış Erişime İlişkin Usul ve Esaslar Hakkında Tebliğ
  • Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ
  • Kayıtlı Elektronik Posta Rehberi ve Kayıtlı Elektronik Posta Hesabı Adreslerine İlişkin Tebliğ       
  • E-Devlet Hizmetlerinin Yürütülmesi Hk.
  • Numara Taşınabilirliği Yön. Değ. Yön. Hk. Değ.
  • K.2016/9104 (Bazı Hizm. Evrensel Hizm. Kaps. Alınması K.Değ.Hk.)
  • K. 2016/9023 (Telsiz Ücretleri Hizmet Kalemleri Kararı)
  • Bilgi Teknolojileri ve İletişim Kur. Yön. Değ.
  • Elektronik Haberleşme Sektörü Yetkilendirme Yön. Değ.
  • K. 2016/8576 (Kişisel Verilerin Otomatik İşl. Bireylerin Kor. Sö
  • Elektronik Haberleşme Sektöründe Acil Yar. Hiz. Yön. Değ.
  • Ödeme ve Menkul Kıymet Mutabakat Sis. Kull. Bilgi Sistemleri
  • Ödeme ve Elektronik Para Kuruluşları Hk. Yön. Değ.
  • Sabit Telefon Hizmetine İlş. Hizm. Kalitesi Teb. Değ.
  • İnternet Servis Sağlayıcılığı Hizm. Kalitesi Teb. Değ.
  • Numara Taşınabilirliği Yönetmeliğinde Değişiklik
  • Elektronik Haberleşme Sektöründe Acil Yard. Çağrı Hiz. Değ.
  • Elektronik Kimlik Bilgisini Haiz Cihazların Kayıt Altına Al. Yön
  • Elektronik Haberleşme Cihazlarında Alan Şiddeti Yön. Değ.
  • Elektronik Ticarette Hizmet Sağlayıcılar Yön.
  • Ticari İletişim ve Ticari Elektronik İletiler Yön.
  • Elektronik Haberleşme Sek. Acil Yardım Yön. Değ.
  • Ticaret Şirketlerinde Elektronik Kurullar Teb. Değ.
  • Araştırma Geliştirme Projelerinin Dest. Yön.
  • 3 N Mobil Haberleşme Hizmetleri Hk. Tebliğ
  • Elektonik İmza ile İlgili Süreçler ve Teknik Kriterler
  • Ortak Yerleşim ve Tesis Paylaşımına İlişkin Usul ve Esaslar
  • ISO/IEC 27001 Standardı
  • Sabit Telefon Hizmetine İlişkin Hizmet Kalitesi Tebliği
  • Elektronik Haberleşme Cihazları Denetimi Hk.
  • İnternet Servis Sağlayıcılarında Hizmet Kalitesi Teb.
  • Elektronik Haberleşme Sekt. Hizm. Kalitesi Yön. Uyg. Tebl.
  • GSM Mobil Telefon Hizmetlerinde Hizmet Kalitesi Hk.
  • Kayıtlı Elektronik Posta Rehberi ve Hesabı Tebliği
  • Ticaret Şirketlerinde Elektronik Kurullar
  • İnternet Alan Adları Tebliği
  • İnternet Alan Adları Uyuşmazlık Çözüm Teb.
  • Elektronik Defter Genel Tebliği (Sıra No:1)
  • Kamuyu Aydınlatma Platformu Tebliği (VII-128.6)
  • Ödeme ve Elektronik Para Kur. Bilgi Sist. Teb.
  • Elektronik Kimlik Bilgisini Haiz Cihazların Kayda Alınması Teb.

Ravotas yönetimi, bu kanun ve yönetmeliklerine aykırı bir davranışta bulunan çalışanı veya tedarikçisi ile ilgili gerekli suç duyurusunda bulunmakla sorumludur.

5651 sayılı Internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun ile içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlenmiştir. Bu kapsamda 5651 sayılı kanun hem içerik, yer, erişim ve toplu kullanım sağlayıcıları ile ilgili düzenlemeleri hem de Internet ortamında işlenen suçlar ile ilgili cezai hükümleri ortaya koyan bir kanundur. Kanuna uygun olarak ISO 27001 kapsamında gerekli tedbirler alınmıştır,

Revotas ilgili tarafları;

Müşteriler, Bilgi Teknolojileri ve İletişim Kurumu, Yerel Belediye, GİB, SGK, ÇSGB, Maliye Bakanlığı, ortaklar, hisse sahipleri, çalışanlar, tedarikçiler, çözüm ortakları, komşu olarak nitelendirilen yerleşkeler, doğal çevre olarak değerlendirilebilir, tüm tarafların beklentileri ilgili standart paralelinde gizlilik ve güvenlik şart ve esaslarına uyarak sistemin işletilmesidir.

Revotas’ın tedarikçilerinden rekabetçi  fiyatlandırma,  güvenirlik,  hizmetler,  teknolojik yetkinlik, kalite, teslimat, esneklik, teknik yeterlilik, risk, tedarikçinin ünü ve sektördeki pozisyonu, finansal pozisyonu,  tecrübe,  insan  kaynakları,  zaman,  hızlı  çözüm  oluşturma,  pazar  payı,  yönetim  ve  organizasyon yeteneği, destek hizmetleri beklemektedir.

ISO 27001 Sisteminden ilgili tarafların en büyük beklentisi veri güvenliğinin sağlanarak, gizliliğin esas olarak kabul edilmesidir, Müşteri ve diğer ilgili taraflara ait verilerin gizliliğinin sağlanmasını beklemekte, yapılacak Ar-Ge çalışmalarında da bilgi güvenliğinin ele alınmasını beklemektedir.

4.KURULUŞUN VE BAĞLAMININ ANLAŞILMASI

Kurumumuz vermeyi taahhüt ettiği hizmetlerde, yasal ve mevzuat şartlarının gerektirdiği düzeyde Bilgi Güvenliği faaliyetlerini yürütmeyi hedeflemektedir. Herhangi bir istenmeyen bilgi güvenliği riskleri için risk analizi dokümanı ile risklerin bertaraf edilmesi hedeflemektedir.

Bu anlamda firmamızın hizmet verme kapasitesini belirleyen, etkileyen iç ve dış konular şunlardır:

  • Ticaret Bakanlığı yasal ve düzenleyici gereksinimleri
  • BTK yasa ve kanunları
  • Diğer ilgili taraf mevzuat ve yönetmelikleri
  • Pazar koşulları
  • Firmamız üst yönetim misyon ve vizyonu
  • Talep ve depolama
  • İç kaynaklardan sağlanan personel,
  • Tedarikçilerden alınan ürün ve hizmetler,
  • Firmamızın alt yapısı ve teknolojik imkânları,
  • Finansal kaynaklı konular.

Yukarıda belirtilen konular firmamız bünyesinde BGYS’ni oluştururken, uygularken ve sürdürürken göz önünde bulundurulmakta ve sürekli gözden geçirilmektedir.

Firmamız yapısı,

  1. BGYS Ekibi tarafından yapılan Değerlendirme toplantılarında, firmamızın faaliyetleri, fonksiyonları, hizmetleri, ürünleri, ortaklıkları, tedarik zincirleri, ilgili taraflar ile ilişkileri ve bilgi güvenliği olaylarına yol açan bir durum ile ilgili potansiyel etkiler tanımlanmış ve ortaya çıkartılan konular doğrultusunda Varlık Envanteri ve Risk Değerlendirme Listesi’nde dokümante edilmiştir.

b)    Firmamızın Risk Yönetim Stratejisi, potansiyel riskler dahil Kritiklik Seviyeleri vb. hususlar Risk dokümanında açıkça ifade edilmiştir.

Bilgi Güvenliği İçeriği/Yapısı belirlenirken firmamız aşağıdakileri yerine getirmiştir:

1)    Bilgi Güvenliği ile ilgili olanlar dahil hedefler belirlenmiş ve ilgili taraflara duyurulmuş,

2)    Riske sebep olan belirsizlikleri ortaya çıkaran dahili ve harici faktörler tanımlanmış,

3)    Firmamızın risk potansiyeli göz önünde bulundurarak risk kriterleri belirlenmiş,

4)    BGYS’nin amacı tanımlanmıştır.